Orice afacere din UE care foloseste un chatbot AI pe site colecteaza automat date cu caracter personal: numele si telefonul vizitatorilor, continutul conversatiei, IP-ul, eventual emailul. Toate astea cad sub GDPR.
Penalitatea pentru incalcari grave: pana la 4% din cifra anuala de afaceri sau 20 milioane EUR. In Romania, ANSPDCP a aplicat amenzi pentru chatboturi necorespunzator configurate.
Ce date colecteaza un chatbot
- Continut mesaje — intrebari si raspunsuri
- Nume + telefon + email — daca chatbotul cere pentru lead
- IP + browser + locatie aproximativa — automat
- Session ID — identificator unic
- Limba detectata
- Pagina sursa — pe ce URL a deschis chatul
Cele 6 obligatii
1. Baza legala pentru procesare
Pentru chatbot, baza legala cel mai des aplicabila e interes legitim sau consimtamant explicit. Pentru lead capture cu intent marketing: consimtamant obligatoriu prin checkbox opt-in.
2. Informare transparenta
Vizitatorul trebuie sa stie inainte: ca vorbeste cu AI, ce date colectezi, cat le pastrezi, cu cine le impartasesti, drepturile lui.
3. Minimizare date
Cere DOAR datele de care ai nevoie. NU cere CNP, NU cere adresa completa.
4. Stocare in UE
Datele trebuie stocate fizic in UE. ChatbotSite stocheaza in Germania (Hetzner Frankfurt) — full UE compliance.
5. DPA - Data Processing Agreement
Trebuie sa ai un contract semnat cu furnizorul. La ChatbotSite: DPA semnabil din dashboard in <2 min.
6. Drepturile vizitatorilor
Vizitatorul are dreptul sa ceara: accesul la date, stergerea, rectificarea, portabilitatea, opozitie la marketing.
Retentie date
- 30 zile — conversatii anonime fara lead
- 90 zile — conversatii cu lead capturat
- 365 zile — clienti activi
- Dupa 1 an — stergere automata sau anonimizare
Etichete